in

Github corrige une faille de haute sécurité signalée par Google Project Zero il y a trois mois

Github a réussi à corriger une faille de sécurité de haute gravité qui lui a été signalée par Google Project Zero il y a environ trois mois. Le bogue affectait l’outil d’automatisation du flux de travail des développeurs de GitHub, appelé Actions, qui, selon le chercheur de Google Project Zero, Felix Wilhelm, était extrêmement vulnérable aux attaques par injection, selon un rapport par ZDNet. Alors que Google l’a décrit comme un bogue «de haute gravité», GitHub a fait valoir qu’il s’agissait d’une «vulnérabilité de sécurité modérée».

Selon le rapport, Google Project Zero divulgue généralement toutes les failles qu’il trouve 90 jours après les avoir signalées. Le 2 novembre, GitHib avait dépassé la période de grâce unique de 14 jours de Google sans corriger la faille.

  Github corrige une faille de haute sécurité signalée par Google Project Zero il y a trois mois

GitHub

Selon le rapport, un jour avant la date limite de divulgation, GitHub a déclaré à Google qu’il désactiverait les commandes vulnérables d’ici le 2 novembre, puis a demandé 48 heures supplémentaires. Ils ont demandé cela, non pas pour résoudre le problème, mais plutôt pour informer les clients et déterminer quand ils l’examineront à une date ultérieure.

Enfin, après 104 jours après avoir signalé le problème à GitHub, Google a publié les détails du bogue.

GitHub a finalement résolu le problème la semaine dernière en désactivant les anciennes commandes de runner de la fonctionnalité, « set-env » et « add-path ».

Wilhelm avait écrit dans son rapport de bogue que le « set-env » était intéressant car il peut être utilisé pour définir des variables d’environnement arbitraires dans le cadre d’une étape de workflow. GitHub ayant résolu le problème, Wilhelm a également mis à jour son rapport de problème pour confirmer que le problème a été résolu, a ajouté le rapport.

.

45secondes est un nouveau média, n’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. 🙂